集中化管理平台saltstack学习（1）

简介

SaltStack是一个服务器基础架构集中化管理平台，具备配置管理、远程执行、监控等功能，一般可以理解为简化版的puppet和加强版的func。SaltStack基于Python语言实现，结合轻量级消息队列（ZeroMQ）与Python第三方模块（Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等）构建。有如下特性：

(1)、部署简单、方便；

(2)、支持大部分UNIX/Linux及Windows环境；

(3)、主从集中化管理；

(4)、配置简单、功能强大、扩展性强；

(5)、主控端（master）和被控端（minion）基于证书认证，安全可靠；

(6)、支持API及自定义模块，可通过Python轻松扩展。

通过部署SaltStack环境，我们可以在成千上万台服务器上做到批量执行命令，根据不同业务特性进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等，SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。

SaltStack master启动后默认监听4505和4506两个端口。4505（publish_port）为saltstack的消息发布系统，4506（ret_port）为saltstack被控端与服务端通信的端口。如果使用lsof 查看4505端口，会发现所有的minion在4505端口持续保持在ESTABLISHED状态。minion与master之间的通信模式如下：

被控端直接于主控端的zeromq建立长连接，接收广播到的任务消息并执行。即在主控端配置iptables规则：

  iptables -I INPUT -m state --state new -m tcp -p tcp --dport 4505 -j ACCEPT

  iptables -I INPUT -m state --state new -m tcp -p tcp --dport 4506 -j ACCEPT

saltstack认证原理：

1)、minion在第一次启动时，会在/etc/salt/pki/minion/（该路径在/etc/salt/minion里面设置）下自动生成minion.pem（private key）和 minion.pub（public key），然后将 minion.pub发送给master。

2)、master在接收到minion的public key后，通过salt-key命令accept minion public key，这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key，然后master就能对minion发送指令了。

依赖情况：

SaltStack的通信模式分为2种模式：ZeroMQ、REAT，鉴于REAT目前还不是太稳定，选择ZeroMQ模式。

安装

本例采用centos6。5默认的Python2。6。6。。若更改Python版本，同时要修改# vim /usr/bin/yum。

此处仅介绍通过yum安装saltstack。

默认的yum 源没有saltstack包，需要改为epel 源。

https://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm

master端安装：yum -y install salt-master

chkconfig salt-master on

minion端安装：yum -y install salt-minion

chkconfig salt-minion on

调整salt配置并检验

注：saltstack的配置文件格式都是YAML 的，配置的时候需要注意语法

master端：

vi /etc/salt/master

interface: masterIP                 #绑定master通信IP。

auto_accept: True                  #设为自动认证，避免繁琐的手动运行salt-key确认证书信任。

file_roots:                               #指定salt文件根目录的位置    

  base:

     - /srv/salt                        

更改完成后启动该服务

minion端：

vi /etc/salt/minion

interface: masterIP                 #绑定master通信IP。

id: JYD-test-2                          #更改被控端主机识别id，建议用主机名来配置

更改完成后启动该服务

应用

salt-key -L     显示当前所有被控端id

-D 删除所有认证id     -d id 删除某个id证书     -A 接受所有id证书请求      -a id 接受某个id证书请求

salt ‘*‘ test.ping   测试所有主机的连通性

salt -E ‘^JYD-test.*‘ cmd.run ‘free -m‘       -E使用正则，cmd.run执行远程命令

-L  列表的形式写多个主机id            

-G  根据被控主机的grains过滤

-I  根据被控主机的pillar过滤         

-N  根据分组名称过滤（分组在/etc/salt/master里定义）

-C  根据条件符not and or 匹配       

-S  根据被控主机的IP或子网匹配

本文出自 “墨” 博客，请务必保留此出处http://jinyudong.blog.51cto.com/10990408/1900247

集中化管理平台saltstack学习（1）

原文：http://jinyudong.blog.51cto.com/10990408/1900247